Internet of Things (IoT) là một xu hướng công nghệ đang phát triển mạnh mẽ. Các thiết bị IoT thường có tài nguyên hạn chế nhưng cũng cần các yêu cầu bảo mật cao giống như các thiết bị khác. Do đó, trong bài báo này sẽ giới thiệu về ứng dụng giao thức trao đổi khóa hạng nhẹ trong IoT.

Giới thiệu giao thức trao đổi khóa hạng nhẹ dành cho IoT

Các thiết bị trong môi trường IoT thường có hạn chế về năng lượng (do sử dụng pin), khả năng xử lý và có bộ nhớ thấp (thường từ vài KB RAM đến hàng chục KB EEPROM). Do đó, giao thức trao đổi khóa cần sử dụng các cơ chế hạng nhẹ bao gồm: khóa mật mã đối xứng và sơ đồ dẫn xuất khóa dựa trên hàm băm (Hash key derivation function - HKDF)

Trong [1] đề xuất giao thức trao đổi khóa hạng nhẹ, gồm 2 khóa chia sẻ giữa thiết bị IoT và Gateway, trong đó sử dụng một khóa chủ đối xứng dài hạn, ký hiệu là K_m, và một khóa chia sẻ ngắn hạn (khóa phiên) ký hiệu là K_s. Khóa phiên khởi tạo được ký hiệu là K_iks. Cả khóa chủ và khóa phiên khởi tạo được nhập thủ công một lần vào trong bộ nhớ EEPROM của thiết bị IoT và Gateway. Mỗi Gateway xác thực thiết bị IoT thông qua các Message trao đổi giữa hai bên, các Message được mã hóa bởi khóa chủ K_m và được băm nhờ khóa K_iks. Giao thức này đảm bảo cả hai bên đều có khóa chia sẻ K_s, được dùng để mã hóa và tính giá trị băm cho Message phiên. Điều quan trọng, cần đảm bảo là các khóa bí mật không được chia sẻ trực tiếp qua mạng. Việc xác thực lại và cập nhật khóa phiên K_s được thực hiện thường xuyên. Các Message được trao đổi giữa những lần cập nhật được gọi là “phiên”. Mỗi phiên có một ngưỡng, là số lượng lớn nhất các frame được trao đổi trong phiên. Việc cập nhật khóa phiên K_s được dựa trên tập hợp ngẫu nhiên các frame trao đổi ở phiên trước cũng như khóa K_s trước, và khóa K_m. Như vậy, kể cả khi kẻ tấn công tìm ra K_s ở một thời điểm nào đó, cũng không thể tìm ra khóa phiên tiếp theo để giải mã, trừ khi kẻ tấn công biết cả K_m và K_s hiện hành.

Ngoài ra, thiết bị IoT và Gateway có thể phải làm việc trong môi trường không có kết nối, khả năng truy cập đến bên thứ ba tin cậy cũng cần hạn chế. Hình 1 mô tả một mạng IoT tổng quát bao gồm nhiều thiết bị IoT và một Gateway, trong đó các thiết bị IoT liên kết với nhau thông qua Gateway.

Hình 1. Cấu hình mạng IoT

Như đã trình bày ở trên, mỗi cặp thiết bị IoT và Gateway chỉ có một cặp duy nhất K_m và K_s, cặp khóa này đóng vai trò quan trọng trong việc xác thực. Các thiết bị IoT và Gateway được xác thực thông qua các Message được mã hóa với khóa chia sẻ K_m và được tính giá trị băm với khóa K_iks, khóa K_s dùng để mã hóa và tính giá trị băm của Message trong một phiên. Giao thức tạo ra mã hóa xác thực sử dụng chế độ làm việc Counter với CBC -MAC (CCM). Chế độ này đảm bảo tính bí mật và xác thực Message trong tất cả các pha. Với chế độ này CCM, CBC-MAC được dùng để tính một mã xác thực Message (MAC) cho tất cả các khung (header, nonce và payload) bằng cách sử dụng một khóa bí mật đối xứng (K_m  hoặc K_s phụ thuộc vào từng pha). Còn chế độ bộ đếm Counter được dùng để mã hóa tải payload như là MAC, bằng cách sử dụng một giá trị nonce và khóa bí mật đối xứng (K_iks hoặc K_s tùy vào pha). Khi số lượng frame đạt đến ngưỡng cho trước thì bắt đầu một phiên mới.

K_s được cập nhật thường xuyên, và không được trao đổi qua mạng. Khi cập nhật K_s mới sẽ sử dụng giá trị K_s trước đó, có nghĩa là khóa phiên mới K_s phụ thuộc vào khóa phiên.

Giao thức [1] đã đề xuất được các ưu điểm của tính ngẫu nhiên trong các frame thông thường, và dùng nó để tạo tính ngẫu nhiên của các khóa phiên. Phần tiếp theo sẽ giới thiệu về pha xác thực dành cho thiết bị IoT mới.

Kết nối thiết bị IoT mới

Khi một thiết bị IoT lần đầu tiên tham gia vào mạng, bước khởi tạo ban đầu cần cung cấp cho cả thiết bị IoT và Gateway khóa thỏa thuận K_s. Điều này được thực hiện bằng cách cài thủ công khóa chia sẻ K_m và K_iks (đã được cài vào Gateway) vào thiết bị IoT mới. Hình 2 mô tả các bước của việc khởi tạo thiết bị IoT mới, bao gồm:

Hình 2. Pha khởi tạo thiết bị IoT mới

Message 1: Thiết bị IoT gửi ID₁, một giá trị khởi tạo, Nonce1 và MAC_Kiks(Message 1), được mã hóa bởi  K_m đến Gateway. Để chứng minh tính chân thực của định danh, thiết bị IoT mới đưa ra thử thách Nonce1. K_iks được dùng để tính MAC cho cả Message.

Message 2: Phụ thuộc vào việc nhận Message 1 từ thiết bị IoT, Gateway sẽ lựa chọn một tập hợp ngẫu nhiên của frame dự kiến RandFrmSeqs_i+1, để cập nhật khóa K_s lần tiếp theo. Sau đó gửi lại Nonce2 (một thử thách mới của Gateway) và Nonce1 cho thiết bị IoT như là một phần của Message 2. Nonce2, RandFrmSeqs_i+1 và Nonce1 sẽ được mã hóa với khóa chủ để đảm bảo tính bí mật trong trao đổi với thiết bị IoT.

Message 3: Khi thiết bị IoT nhận được Message 2, nó khẳng định rằng giá trị băm của MAC nhận được phù hợp với giải mã Message thông qua K_m. Thiết bị IoT sẽ đánh dấu Gateway đã được xác thực, khẳng định thiết bị IoT đã nhận được tập RandFrmSeqs_i+1. Ngoài ra, thiết bị IoT biết Gateway có khóa đúng K_iks và nhận Nonce1 đúng từ Message 1 và xác thực Gateway, sau đó gửi lại Message 3 cho Gateway.

Message 4: Khi Gateway nhận Message 3, nó kiểm tra MAC. Nếu đúng, Gateway đánh dấu thiết bị IoT là được xác thực, và Gateway biết thiết bị IoT có khóa đúng K_iks và nhận được Nonce2 trực tiếp từ Message 2. Gateway gửi ID_G, kết quả mã hóa “ack” và MAC_Kik (Message 4) sử dụng K_m đến thiết bị IoT để khẳng định Message 3 đã được nhận đúng bởi Gateway. Gateway có K_s là khóa dẫn xuất ngẫu nhiên từ Nonce1 và Nonce2, sử dụng như đầu vào salt (một giá trị ngẫu nhiên), sử dụng K_iks như là khóa HKDF.

Sau khi đã xác thực thiết bị IoT mới, việc giao tiếp thông thường giữa Gateway và thiết bị IoT sẽ được thực hiện như trong Hình 3.

Hình 3. Giao tiếp giữa Gatewway và thiết bị IoT

 Trong đó, cả hai thiết bị dựa trên K_s, và chúng trao đổi an toàn nhờ K_s. Trong pha này, cả hai thiết bị giữ các frame tương ứng thông qua RandFrmSeqs_i+1 và được dùng cho khóa K_s cho đến ngưỡng frame đạt được. Đối phương không chỉ không biết RandFrmSeqs_i+1, mà còn không biết tất cả các frame của phiên.

Việc cập nhật khóa phiên được mô tả như trong Hình 4.

Hình 4. Cập nhật khóa phiên

Message 1: Thiết bị IoT tính khóa K_s cho phiên tiếp theo, nó sẽ là khóa HKDF của khung ngẫu nhiên dựa trên RandFrmSeqs_i được sử dụng như thông tin đầu vào, nhận được ở phiên trước, và K_m (được dùng như là salt). Sau đó, thiết bị IoT gửi ID₁ qua lệnh “update key”, Nonce1, cùng với MAC_Ks(Message 1) được mã hóa với K_m gửi đến Gateway.

Message 2: Khi nhận được cập nhật khóa, Gateway kiểm tra ngưỡng đã đạt được chưa. Nó tính K_s cho phiên mới, với khóa HKDF của phiên ngẫu nhiên trên RandFrmSeqs_i như là đầu vào và K_m, (được dùng như salt), cùng với khóa hiện thời K_s. Gateway tính MAC bằng cách sử dụng K_s như là khóa được liên lạc với thiết bị IoT trong bước này. Sau đó, Gateway gửi ID_G và mã hóa Nonce2, RandFrmSeqs_i+1 , Nonce1 và MAC_Ks(Message 2) sử dụng  K_m cho thiết bị IoT.

Message 3: Khi nhận được Message 2, thiết bị IoT đánh dấu Gateway đã được xác thực bằng việc kiểm tra MAC. Nó tính giá trị băm của Nonce2 và RandFrmSeqs_i+1 phù hợp với hoạt động của Gateway. Sau đó, thiết bị IoT gửi   ID₁ và mã hóa của h(Nonce2||RandFrmSeqs_i+1) và MAC_Ks(Message 2) sử dụng K_m. Khi Gateway nhận được Message 3, sẽ xác nhận IoT được xác thực khi MAC được kiểm tra, và việc cập nhật khóa thành công.

Tiếp theo là việc xác thực lại và ổn định lại khóa phiên, được mô tả như trong Hình 5.

Khi có sự đồng bộ lỗi của K_s với lý do nào đó (có thể là do bị phá hoại hoặc lý do khác), cả hai bên cần thống nhất lại khóa K_s an toàn. Việc gọi lại cả K_m và  K_iks được đảm bảo trong cả hai thiết bị với bộ nhớ không phụ thuộc vào điện. Vì vậy, cả hai thiết bị dùng K_m và  K_iks để xác thực lại và ổn định lại một khóa mới K_s từ Nonce1, Nonce2 và K_iks, điều này sẽ tạo ra một khóa K_s khác với xác suất cao, được thực hiện mỗi khi khởi động lại K_s. Ví dụ, thiết bị IoT hoặc Gateway có thể khởi động lại vì lý do này, kết quả là cả hai phải được khởi động lại K_s cho khóa K_s mới ngẫu nhiên và xác thực lại, thỏa thuận lại khóa an toàn, được chỉ ra trong Hình 5. Tiến trình này tương tự như quá trình xác thực và thiết lập khóa, ngoại trừ lệnh « reset » thay cho lệnh « initialization ».

Hình 5. Xác thực và thiết lập lại khóa phiên

Đánh giá độ an toàn của giao thức

Phần này sẽ đánh giá an toàn cho giao thức đã giới thiệu phía trên. Theo các tác giả trong [1], việc có cả 2 khóa K_m, K_s sẽ cung cấp độ an toàn tốt hơn, gây khó khăn cho kẻ tấn công muốn biết cả 2 khóa. Các phân tích đã chứng tỏ được nếu chỉ biết 1 khóa sẽ không đủ để lộ tính bí mật và tính toàn vẹn của Message. Các tác giả cũng chỉ ra rằng, giao thức được đề xuất thỏa mãn tính an toàn đầy đủ về phía trước (PFS- Perfect Forward Secrecy). Một số điểm chính bao gồm:

- Độ dài của khóa K_m và K_s   phải đủ phức tạp để chống lại tấn công vét cạn.  

- Biết giá trị K_m   là không đủ để giải mã các Message phiên, bởi vì chúng đã được mã bởi khóa khác.

- Các khóa phiên không được chuyển dưới dạng rõ, biết K_m là không đủ để biết K_s.

- Thậm chí nếu biết K_m, có một kênh hoàn thiện, và ghi tất cả Message từ nơi bắt đầu, chúng không sở hữu được K_s bởi vì các khóa không bao giờ được trao đổi dạng rõ trên mạng. Ngoài ra, kẻ tấn công không thể tính giá trị K_s hiện tại, bởi vì chúng phụ thuộc vào K_s trước đó.

- Nếu kẻ tấn công biết K_s và thậm chí chúng có cả kênh an toàn, thì vẫn không thể biết khung ngẫu nhiên được thỏa thuận để sinh khóa phiên tiếp theo.

- Nếu chỉ có K_m được biết và thiết bị IoT khởi động lại hoặc kênh bị nghẽn bởi kẻ tấn công cũng ghi các Message được trao đổi, giao thức chống lại tấn công kẻ ở giữa một cách mạnh mẽ.

- Nếu kẻ tấn công chỉ biết K_m ở pha khởi tạo, các tấn công ở giữa hoặc cướp phiên (session hijack) vẫn không thành công, bởi vì kẻ tấn công phải có khóa khác K_iks, để chứng minh tính hợp pháp cho bên còn lại.

Kết luận

Các tác giả trong [1] đã đề xuất giao thức trao đổi khóa và xác thực để đảm bảo liên lạc an toàn trong môi trường IoT. Giao thức được đề xuất có mục tiêu đảm bảo an toàn, hạng nhẹ, có năng lượng và không gian phù hợp, có xác thực và trao đổi khóa trên các thiết bị hạn chế tài nguyên. Độ an toàn của giao thức bao gồm các khóa bí mật được gửi dưới dạng mã trên đường truyền. Giao thức thường xuyên cập nhật các khóa phiên đối xứng thông qua việc mã hóa và băm dữ liệu dựa trên tham số ngẫu nhiên (đã đã thỏa thuận từ trước). Đồng thời cũng giới thiệu hai trở ngại, hai khả năng lộ lọt, có thể phá vỡ giao thức, đó là tổn thương khóa đối xứng dài hạn K_m và khóa đối xứng ngắn hạn K_s. Trong giao thức được đề xuất, không có thành phần đơn lẻ nào bị lộ có thể ảnh hưởng đến nhiệm vụ xác thực và trao đổi khóa có thể gây ảnh hưởng đến tính bí mật cũng như tính toàn vẹn của Message được trao đổi.